Michele PinassiTL;DR Pubblicati oltre 58GB di dati esfiltrati dai sistemi informatici dell’Unione dei Comuni Reno Galliera, nel bolognese. Un attacco anomalo, poiché sembra che i dati sui sistemi colpiti non siano stati cifrati. In ogni caso, l’ennesimo attacco che conferma la necessità di accelerare nel settore ICT per le PA italiane.
Gli attacchi ransomware sembrano non dare tregua alle istituzioni pubbliche italiane: comuni, ospedali, regioni, università… nessuno sembra possa dirsi immune da quella che viene considerata la più grave “piaga digitale” di questi anni.
Tra le ultime vittime che si sono trovate con i loro dati diffusi pubblicamente troviamo l’Unione Reno Galliera, Ente che riunisce 8 comuni dell’area metropolitana bolognese e che gestisce, per loro, i servizi ICT relativi alle esigenze istituzionali.
Pubblicati domenica 26 settembre 2021 oltre 58GB di dati che il ransomware RansomEXX ha esfiltrato dai sistemi colpiti.
L’archivio, suddiviso in 120 parti da 500MByte cadauna, sembra contenere documenti relativi alle varie attività istituzionali dei comuni, dalla gestione delle scuole alla TARI, comprendenti anche documenti e informazioni riservate.
A quanto risulterebbe dalle notizie ricevute, in questo caso il ransomware si è limitato a esfiltrare i dati senza però cifrarli, come spesso accade: forse ci sono state difficoltà tecniche? Oppure siamo davanti a una nuova strategia estorsiva?
Attacco confermato anche con un comunicato direttamente sul sito web dell’Unione, pubblicato lunedì 27.09.2021. Si potrebbe discutere sulla dizione “tentativo di attacco” e “piccola parte dei nostri dati” (parliamo di quasi 60GB di documenti!)…
Per dovere di cronaca, il gruppo dietro a RansomEXX ha colpito realtà del calibro di American Megatrends International (si…quella del BIOS…), Gigabyte Technology, il gruppo Ermenegildo Zegna e, sempre per restare in Italia, il Consiglio Nazionale del Notariato (nel marzo di quest’anno).
In ogni caso, un evento di questo tipo rischia di far passare notti insonni ai tecnici informatici, al dirigente del settore ICT, al DPO e al Titolare del trattamento: parliamo di un data breach con la conseguente divulgazione d’informazioni riservate contenenti dati personali relativi ai cittadini di quei comuni, interessati del trattamento che dovranno essere notificati della violazione (artt. 33 e 34 del Regolamento 2016/679 “GDPR”).
Sul tema, segnalo che l’EDPB, European Data Protection Board (Board che riunisce le autorità per la protezione dei dati dei Paesi Europei), a inizio 2021 ha pubblicato un comodo vademecum per gestire queste situazioni, la Guidelines 01/2021 on Examples regarding Data Breach Notification, che indica le azioni da intraprendere per un ampia platea di casi per ottemperare agli obblighi normativi.
Per concludere, questo ennesimo attacco a un Ente pubblico conferma, se mai ce ne fosse ancora bisogno, la necessità di rivedere l’organizzazione dei sistemi ICT delle pubbliche amministrazioni italiane. Partendo dalla necessità di riconoscere professionalità specifiche per i delicati ruoli di gestione delle reti e dei sistemi informatici, con stipendi adeguati e formazione continua. E no, “spostare tutto sul cloud” non risolverà le criticità.
Hai trovato utile questo articolo?
